Aller au contenu

Common Criteria (ISO/IEC 15408) : sécurité IT

Guide · Common Criteria

Common Criteria for Information Technology Security Evaluation, normalises depuis 1999 sous la reference ISO/IEC 15408 et dans sa méthodologie associée ISO/IEC 18045 (Common Evaluation Methodology, CEM), constituent le cadre international d'évaluation de la sécurité des produits IT. Ne de la convergence du Trusted Computer System Evaluation Criteria nord-américain, de l'Information Technology Security Evaluation Criteria européen et du Canadian Trusted Computer Product Evaluation Criteria au cours des années 1990, le standard organise une grammaire commune d'exigences (Security Functional Requirements et Security Assurance Requirements), une échelle d'assurance graduée de EAL 1 a EAL 7, et un mécanisme international de reconnaissance mutuelle des certificats. Ce guide expose la structure de la norme, le cycle d'évaluation, les niveaux d'assurance, la mécanique de la reconnaissance CCRA et SOG-IS MRA, les schémas nationaux, le positionnement du futur schéma européen EUCC et l'articulation avec les autres cadres (CRA, RED 3.3, EN 303 645).

Le besoin d'un cadre formel d'évaluation de la sécurité IT remonte aux années 1980 avec la publication par le département de la Defense américain du Trusted Computer System Evaluation Criteria (TCSEC, dit Orange Book, 1985), oriente vers les systèmes d'exploitation et les classes de confiance C1 a A1. L'Europe occidentale a developpe en parallèle son propre cadre, l'Information Technology Security Evaluation Criteria (ITSEC, 1991), porte par la France, l'Allemagne, le Royaume-Uni et les Pays-Bas, et le Canada a publie le Canadian Trusted Computer Product Evaluation Criteria (CTCPEC, 1993).

La fragmentation a rapidement montre ses limites : un produit certifie sous TCSEC ne pouvait pas réutiliser son évaluation sous ITSEC ou CTCPEC. A partir de 1993, un groupe de travail conjoint a fusionne les trois corpus dans un cadre unique, publie en 1996 sous le nom Common Criteria version 1.0. La version 2.0 a paru en 1998, suivie de la normalisation ISO/IEC 15408 en 1999. Le cadre a connu trois versions majeures (2.x, 3.x, 4.x) avant la révision 2022 qui restructure la norme en cinq parties et harmonise la terminologie.

L'édition courante, ISO/IEC 15408:2022, comporte :

  • Partie 1, Introduction and général model : concepts fondamentaux, cycle d'évaluation, structure des Protection Profiles et Security Targets.
  • Partie 2, Security functional components : catalogue des Security Functional Requirements (SFR), regroupes en classes (FAU audit, FCO communication, FCS cryptographic support, FDP user data protection, FIA identification and authentication, FMT security management, FPR privacy, FPT protection of the TSF, FRU resource utilisation, FTA TOE access, FTP trusted path/channels).
  • Partie 3, Security assurance components : catalogue des Security Assurance Requirements (SAR), regroupes en classes (ADV development, AGD guidance documents, ALC life-cycle support, ASE security target évaluation, ATE tests, AVA vulnerability assessment, ACO composition).
  • Partie 4, Framework for the spécification of évaluation methods and activities : meta-cadre pour les schémas.
  • Partie 5, Pre-defined packages of security requirements : packages prédéfinis, dont les Evaluation Assurance Levels.

La Common Evaluation Methodology (CEM), normalisée sous ISO/IEC 18045:2022, décrit comment un évaluateur applique concrètement la partie 3 sur un produit donne. C'est le document de reference des laboratoires accredites.

ISO/IEC 15408:2022 ISO/IEC 18045:2022 (CEM)

Common Criteria définit un vocabulaire précis qu'il convient de fixer avant d'aborder la mécanique d'évaluation.

Le TOE est l'objet evalue. Il peut s'agir d'un composant matériel (carte a puce, micro-controleur securise, module HSM, processeur cryptographique), d'un logiciel (système d'exploitation, hyperviseur, base de données), d'un firmware, ou d'une combinaison. Le périmètre exact du TOE est décisif : il fixe ce qui est evalue et ce qui ne l'est pas. Un sur-périmètre alourdit le projet sans bénéfice ; un sous-périmètre laisse des surfaces d'attaque hors évaluation et fragilise la valeur du certificat.

La TSF designe l'ensemble des fonctions de sécurité implémentées dans le TOE, c'est-a-dire les contre-mesures techniques qui réalisent les exigences fonctionnelles de sécurité. La TSF est l'objet direct des tests, de l'analyse de conception et de l'analyse de vulnérabilités.

La Security Target est le document principal de la procédure. Elle décrit :

  1. Le TOE et son environnement operationnel.
  2. Les menaces, les politiques de sécurité organisationnelles et les hypothèses sur l'environnement.
  3. Les objectifs de sécurité (du TOE et de son environnement).
  4. Les Security Functional Requirements selectionnes (avec raffinements et itérations le cas échéant).
  5. Les Security Assurance Requirements, généralement réduits a un package EAL avec éventuelles augmentations.
  6. La spécification synthétique du TOE et la justification (rationale) reliant menaces, objectifs et exigences.

La ST peut déclarer la conformité a un ou plusieurs PP : on parle alors de strict conformance ou de demonstrable conformance selon le niveau d'alignement requis. La qualité de la ST conditionne directement la durée et le coût de l'évaluation.

Le Protection Profile est une spécification générique des exigences de sécurité pour une classe de produits, rédigée indépendamment d'une implémentation. Un PP définit les menaces, les objectifs et les SFR/SAR attendus, sans designer un produit particulier. Plusieurs ST peuvent déclarer conformité au même PP, ce qui facilite la comparaison entre produits et réduit la duplication d'effort.

Le cPP est une variante du PP élaborée en commun par plusieurs schémas nationaux au sein d'une Technical Community internationale (par exemple iTC Network Devices, iTC Smartcards). Le cPP encadre les évaluations pour une catégorie technique et conditionne, depuis la reforme CCRA de 2014, la reconnaissance mutuelle au-dela de EAL 2 + ALC_FLR. Pour un fabricant, l'existence d'un cPP applicable a son produit est un signal positif fort : elle réduit l'incertitude rédactionnelle de la ST et garantit l'acceptation internationale du certificat.

NiveauDocumentSpecifique a un produit ?Role
Cadre normatifISO/IEC 15408 (parties 1 a 5) + ISO/IEC 18045 (CEM)NonDefinit la grammaire et la méthodologie
Categorie de produitProtection Profile (PP) ou collaborative PP (cPP)NonSpecifie les exigences pour une classe
ProduitSecurity Target (ST)OuiDecrit le TOE et ses fonctions de sécurité
ImplementationTarget of Evaluation (TOE)OuiLe produit physique ou logiciel evalue
Fonctions évaluéesTOE Security Functionality (TSF)OuiSous-ensemble du TOE réalisant les SFR

Les Evaluation Assurance Levels sont des packages prédéfinis de Security Assurance Requirements. Ils ne mesurent pas la sécurité intrinsèque d'un produit mais la confiance que l'on peut accorder a son évaluation, en fonction de la profondeur et de la rigueur des analyses menees.

EALIntituleDescription synthétiqueCas d'usage typiques
EAL 1Functionally testedAnalyse fonctionnelle, tests indépendants limitesProduits commerciaux ou la simple existence d'une évaluation suffit
EAL 2Structurally testedTests indépendants, analyse de conception haut niveau, revue de vulnérabilitésProduits IT généraux avec exigences modérées, plafond CCRA en l'absence de cPP
EAL 3Methodically tested and checkedDocumentation de conception, analyse des canaux caches, controles environnement de développementProduits commerciaux avec exigences plus sérieuses
EAL 4Methodically designed, tested, and reviewedConception détaillée, sous-ensemble du code source analyse, controles ALC étendusPlafond le plus eleve atteignable économiquement par un produit commercial générique, fréquent pour les OS, bases de données, firewalls
EAL 5Semiformally designed and testedConception semi-formelle, analyse de vulnérabilités approfondie, modélisation TSF formelle partielleCartes a puce, micro-controleurs securises, certains OS specialises
EAL 6Semiformally verified design and testedVerification semi-formelle, tests structurels exhaustifs sur la TSFComposants de sécurité critiques (cartes a puce haute assurance, HSM)
EAL 7Formally verified design and testedModelisation formelle complete de la TSF, verification mathématiqueTOE de très petite taille a très forte criticité (modules cryptographiques, parties d'un noyau securise)

Un niveau EAL peut être augmente par des SAR additionnels au-dela du package standard. L'augmentation la plus frequente est ALC_FLR (Flaw Remediation), qui ajoute une exigence formelle de gestion des correctifs. Les dénominations habituelles en pratique :

  • EAL 4+ : EAL 4 augmente d'au moins un composant supérieur, le plus souvent ALC_FLR.2 ou ALC_FLR.3, parfois AVA_VAN.5 (analyse de vulnérabilités haut potentiel).
  • EAL 5+ : EAL 5 avec AVA_VAN.5 systématique pour les cartes a puce et HSM.

La grande majorité des certificats commerciaux delivres dans le monde se situent dans la plage EAL 2 a EAL 5+. EAL 6 et EAL 7 restent l'apanage des composants ou des sous-ensembles très spécifiques, du fait du coût de la verification formelle.

L'évaluation Common Criteria mobilise quatre acteurs : le sponsor (généralement le fabricant), le développeur, le laboratoire d'évaluation (ITSEF en terminologie européenne, CCTL en terminologie américaine) et la Certification Body du schéma national. Le flux type est le suivant.

  1. Cadrage et sélection du schéma. Le sponsor choisit le schéma national de certification (ANSSI en France, BSI en Allemagne, NIAP aux Etats-Unis, etc.) en fonction du marche cible, du laboratoire pressenti et du cPP applicable.
  2. Selection du laboratoire. L'ITSEF/CCTL doit être accredite pour le schéma vise et pour la catégorie technique du TOE. Un contrat tripartite est signe entre sponsor, laboratoire et schéma.
  3. Redaction de la Security Target. Étape critique. La ST est revue par le schéma avant le démarrage des activités d'évaluation (étape ASE).
  4. Activites d'évaluation. Le laboratoire applique la CEM aux SAR retenus : ADV (conception), AGD (documentation utilisateur), ALC (cycle de vie), ATE (tests fonctionnels), AVA (analyse de vulnérabilités), éventuellement ACO (composition).
  5. Rapports techniques. Le laboratoire produit des Evaluation Technical Reports intermédiaires, revus par la Certification Body.
  6. Decision de certification. La Certification Body émet le certificat (Certification Report public et Security Target publique) et publie le produit sur le portail du schéma.
  7. Maintenance et réévaluation. Le certificat peut être maintenu par des assurance continuity (changes minor/major), ou suivi d'une réévaluation pour une nouvelle version du produit.

La durée d'une évaluation dépend du niveau d'assurance, de la complexité du TOE et de la maturité documentaire du sponsor. Une évaluation EAL 4+ sur un produit déjà en exploitation prend typiquement plusieurs trimestres ; une évaluation EAL 5+ sur une carte a puce mobilise plusieurs années-homme cote laboratoire.

Reconnaissance internationale : CCRA et SOG-IS MRA

Section intitulée « Reconnaissance internationale : CCRA et SOG-IS MRA »

Common Criteria n'aurait qu'une portée limitée sans dispositif de reconnaissance mutuelle. Deux instruments coexistent.

Le CCRA est un accord international signe entre états participants (Common Criteria Recognition Arrangement). Il distingue deux statuts : Certificate Authorizing Members (états qui délivrent des certificats reconnus) et Certificate Consuming Members (états qui reconnaissent les certificats sans en délivrer). Le portail Common Criteria publie la liste a jour des membres.

La reforme du CCRA de 2014 a profondément modifie le mécanisme : la reconnaissance générale ne s'applique plus qu'aux certificats jusqu'au niveau EAL 2 augmente de ALC_FLR ; au-dela, la reconnaissance n'est garantie que pour les évaluations réalisées dans le cadre d'un cPP valide pour la catégorie de produit. En l'absence de cPP applicable, un certificat EAL 4+ reste valable sur le territoire émetteur mais n'engage pas automatiquement les autres signataires.

Le Senior Officials Group Information Systems Security Mutual Recognition Agreement est un arrangement européen plus restreint mais plus permissif sur les niveaux. Ses membres (essentiellement des états de l'Union et de l'AELE) se reconnaissent mutuellement les certificats jusqu'a EAL 7 pour les domaines techniques que SOG-IS couvre formellement, et jusqu'a EAL 4 pour les autres domaines.

Les domaines techniques SOG-IS sont au nombre de deux historiquement :

  • Smart Cards and Similar Devices (cartes a puce et dispositifs similaires : eUICC, secure éléments, jetons securises).
  • Hardware Devices with Security Boxes (dispositifs matériels a boîtier de sécurité, dont certains HSM et tachygraphes numériques).

Le SOG-IS MRA a longtemps fait office de régime de reconnaissance haut niveau en Europe. SOG-IS a cessé d'émettre de nouveaux certificats le 27 février 2026, la délivrance ayant basculé vers le schéma EUCC (voir section dédiée).

CaracteristiqueCCRASOG-IS MRA
Portee géographiqueInternationaleEuropeenne (UE et AELE)
Plafond de reconnaissance généraleEAL 2 + ALC_FLREAL 4 hors domaine technique, EAL 7 dans les domaines techniques
Condition au-dela du plafondEvaluation conforme a un cPPAppartenance au domaine technique reconnu
Domaines techniques formellement reconnusListes des Technical Communities, évolutivesSmart Cards and Similar Devices, Hardware Devices with Security Boxes
AvenirStable, évolutions cPP par iTCProgressivement absorbe par EUCC dans le périmètre UE

Common Criteria est decline dans chaque pays signataire en un schéma national de certification. Le schéma designe la Certification Body, accredite les laboratoires, publie les guides procédure et émet les certificats. Les schémas les plus actifs au plan mondial :

Etat ou régionSchemaAutoriteStatut CCRA
FranceCertification Criteres CommunsANSSICertificate Authorizing Member
AllemagneGerman CC SchemeBSI (Bundesamt fur Sicherheit in der Informationstechnik)Certificate Authorizing Member
Pays-BasNSCIBTUV Rheinland Nederland (sous tutelle NCTV)Certificate Authorizing Member
EspagneOrganismo de CertificacionCentro Criptologico Nacional (CCN)Certificate Authorizing Member
ItalieOCSIOrganismo di Certificazione della Sicurezza InformaticaCertificate Authorizing Member
Etats-UnisNIAP CCEVSNational Information Assurance Partnership / NSACertificate Authorizing Member
CanadaCanadian CCSCommunications Security Establishment (CSE)Certificate Authorizing Member
JaponJISECIPA (Information-technology Promotion Agency)Certificate Authorizing Member
Coree du SudKCMVP / KCCNIS (National Intelligence Service)Certificate Authorizing Member
Royaume-UniNCSC CC SchemeNational Cyber Security CentreCertificate Authorizing Member
SuedeCSECFMV (Forsvarets Materielverk)Certificate Authorizing Member

Le portail Common Criteria maintient la liste a jour des membres et de leur statut.

En France, l'ANSSI delivre les certificats CC sous le label Visa de Securite. Le Visa de Securite recouvre deux schémas distincts :

  • La Certification Criteres Communs (CC), correspondant au cadre ISO/IEC 15408 décrit dans ce guide.
  • La CSPN (Certification de Securite de Premier Niveau), évaluation rapide en boite noire et boite grise, propre au contexte national, dont la durée typique est de deux mois et qui n'entre pas dans le périmètre CCRA. Voir le guide CSPN ANSSI pour le détail des differences.

Le choix entre CC et CSPN dépend du niveau d'assurance requis, du budget disponible et de la portée géographique recherchee. La CSPN convient a un besoin national de première confiance ; la CC s'impose des que la reconnaissance internationale ou un EAL eleve est exige par le client final ou le marche.

EUCC : la transposition européenne sous Cybersecurity Act

Section intitulée « EUCC : la transposition européenne sous Cybersecurity Act »

Le règlement (UE) 2019/881 Cybersecurity Act a institue un cadre européen de certification cybersécurité, dont la première réalisation opérationnelle est le schéma EUCC (European Common Criteria-based cybersecurity certification schème), adopte par le règlement d'exécution (UE) 2024/482.

EUCC reprend ISO/IEC 15408 et ISO/IEC 18045 comme base technique. Il définit deux niveaux d'assurance opérationnels (substantial, high) maps sur l'exigence AVA_VAN (Vulnerability Analysis) de CC :

  • substantial : correspond a AVA_VAN niveau 1 ou 2.
  • high : correspond a AVA_VAN niveau 3, 4 ou 5.

L'autorité nationale de certification de cybersécurité (NCCA) émet les certificats au nom de l'Union ; l'ENISA tient le registre central. En France, c'est l'ANSSI qui assume la fonction de NCCA et qui delivre les certificats EUCC.

EUCC absorbe progressivement les certificats nationaux existants et la branche CC du SOG-IS. Les certificats CC nationaux pre-EUCC restent valides jusqu'a leur terme, mais les nouvelles demandes en France et dans les autres états membres basculent progressivement sous EUCC pour les catégories couvertes.

Le futur règlement CRA (UE) 2024/2847 reconnaît explicitement les certificats EUCC comme présomption de conformité a tout ou partie des exigences essentielles de son annexe I, sans pour autant rendre obligatoire la certification CC. Voir le guide Cyber Resilience Act pour la mécanique d'articulation.

L'expérience des laboratoires et des schémas met en évidence des erreurs récurrentes que tout sponsor doit anticiper.

PiegeManifestationMitigation
Sur-périmètre du TOEInclusion de fonctions hors sécurité qui alourdissent ADV et ATE sans renforcer la valeur du certificatDefinir un TOE minimal couvrant strictement la TSF cible
Redaction tardive de la STLe laboratoire ne peut pas démarrer les activités tant que la ST n'est pas validée, le planning deriveInvestir tot dans la ST, ideallement en parallèle du design du produit
Absence de cPP applicableReconnaissance CCRA limitée a EAL 2 + ALC_FLR, ST artisanale a défendre devant le schémaVerifier l'existence d'un cPP en début de projet, suivre les iTC pour la catégorie cible
Sous-estimation de ALCLes exigences ALC (cycle de vie, configuration management, livraison sécurisée) demandent une documentation industrielle souvent absenteLancer la mise en conformité ALC des le cadrage, anticiper les audits de site
Mauvais choix de laboratoireLe laboratoire n'est pas accredite pour le domaine technique ou le schéma viseVerifier l'accréditation et les references du laboratoire avant signature
Architecture inadaptée a la verificationUne TSF imbriquée dans le reste du produit complique énormément la séparation et l'analyseConcevoir la TSF comme un sous-système identifie, avec interfaces explicites
Sous-estimation de la duréeLe cycle complet d'une évaluation EAL 4+ mobilise plusieurs trimestres minimum, davantage pour EAL 5+Inscrire l'évaluation dans la roadmap produit très en amont

L'International Common Criteria Conference (ICCC) réunit chaque année schémas, laboratoires, sponsors et utilisateurs finaux. Elle constitue le principal lieu d'echange sur l'évolution de la norme, des cPP et des Technical Communities. Les iTC (international Technical Communities) sont les groupes de travail charges de produire les cPP pour des domaines techniques spécifiques (Network Devices, Dedicated Security Components, Hardcopy Devices, Mobile Devices, Smart Cards, etc.). Le portail Common Criteria recense les iTC actives.

Pour un fabricant qui prepare une certification, l'observation des publications des iTC concernées, la lecture des Certification Reports publics sur le portail et la consultation précoce du schéma national sont des réflexes utiles. Voir le glossaire spilma pour les définitions normalisées du vocabulaire CC (TOE, TSF, PP, ST, cPP, EAL, SFR, SAR, CEM, ITSEF, CCTL, CCRA, SOG-IS, EUCC, NCCA).

Common Criteria, normalises sous ISO/IEC 15408 et accompagnes de la méthodologie CEM (ISO/IEC 18045), restent en 2026 la reference internationale pour l'évaluation formelle de la sécurité IT. Le cadre repose sur un vocabulaire stable (TOE, TSF, ST, PP, cPP), une échelle d'assurance graduée de EAL 1 a EAL 7 avec augmentations, et un double régime de reconnaissance internationale (CCRA jusqu'a EAL 2 + ALC_FLR ou cPP au-dela ; SOG-IS MRA jusqu'a EAL 7 dans les domaines techniques). La montée en puissance d'EUCC sous le Cybersecurity Act européen consolide progressivement la branche CC du paysage de certification en Europe et offre un pont de présomption de conformité vers le règlement CRA pour les produits qui en relevent.

Sources & références

  1. Common Criteria Portal, documents officiels CC v3.1 / CC 2022 et listes de produits certifies , Common Criteria Maintenance Board www.commoncriteriaportal.org/
  2. ISO/IEC 15408 (toutes parties), Information security, cybersecurity and privacy protection, Evaluation criteria for IT security , ISO/IEC www.iso.org/standard/72891.html
  3. Common Criteria Recognition Arrangement (CCRA), texte et liste des membres , Common Criteria Maintenance Board www.commoncriteriaportal.org/ccra/
  4. SOG-IS Mutual Recognition Agreement, portail officiel et domaines techniques , Senior Officials Group Information Systems Security www.sogis.eu/
  5. Règlement (UE) 2019/881 Cybersecurity Act, base juridique de l'EUCC , EUR-Lex eur-lex.europa.eu/eli/reg/2019/881/oj
  6. Règlement d'exécution (UE) 2024/482 etablissant le schéma EUCC , EUR-Lex eur-lex.europa.eu/eli/reg_impl/2024/482/oj
  7. ANSSI, page Common Criteria et Visa de Securite , ANSSI cyber.gouv.fr/produits-certifies

Questions fréquentes

Que sont les Common Criteria et a quoi sert ISO/IEC 15408 ?
Les Common Criteria, normalises sous ISO/IEC 15408, constituent le cadre international d'évaluation de la sécurité des produits des technologies de l'information. Ils définissent un langage commun pour exprimer les exigences de sécurité (Security Functional Requirements et Security Assurance Requirements), une méthodologie d'évaluation (CEM, Common Evaluation Methodology, ISO/IEC 18045) et une échelle d'assurance graduée de EAL 1 a EAL 7. Le résultat est un certificat delivre par un schéma national de certification a l'issue d'une évaluation menée par un laboratoire accredite.
Quelle est la différence entre un Protection Profile et une Security Target ?
Le Protection Profile (PP) est un document générique décrivant les exigences de sécurité pour une classe de produits indépendamment d'une implémentation particuliere. La Security Target (ST) est spécifique a un produit donne (le TOE, Target of Evaluation) et décrit comment ce produit répond aux exigences. Une ST peut déclarer la conformité a un ou plusieurs PP. Pour un domaine technique mature, l'usage d'un collaborative Protection Profile (cPP) harmonise est encourage par les schémas membres du CCRA.
Jusqu'a quel niveau les certificats sont-ils mutuellement reconnus ?
Le Common Criteria Recognition Arrangement (CCRA) prévoit une reconnaissance mutuelle jusqu'au niveau EAL 2 augmente de ALC_FLR (gestion des correctifs) et conditionne la reconnaissance au-dela a l'usage d'un cPP valide pour la catégorie de produit. Le SOG-IS MRA, arrangement européen réduit, reconnaît des certificats jusqu'a EAL 7 pour les domaines techniques qu'il couvre (cartes a puce et dispositifs similaires, dispositifs matériels a boîtier de sécurité).
Que sont les niveaux EAL et comment les choisir ?
Les Evaluation Assurance Levels graduent la rigueur de l'évaluation, pas le niveau de sécurité intrinsèque du produit. EAL 1 correspond a une analyse fonctionnelle, EAL 4 a une conception, des tests indépendants et une revue méthodique des vulnérabilités (niveau le plus eleve pratique pour un produit commercial générique), EAL 5 a 7 ajoutent des exigences semi-formelles puis formelles, généralement réservées aux composants de sécurité critiques (cartes a puce, micro-controleurs securises). En pratique, les certifications commerciales se concentrent sur EAL 4+ et EAL 5+ avec augmentations ciblees.
Quel rapport entre Common Criteria et EUCC ?
L'European Common Criteria-based cybersecurity certification schème (EUCC), adopte par le règlement d'exécution (UE) 2024/482 sous l'égide du Cybersecurity Act 2019/881, transpose Common Criteria au niveau européen. EUCC remplace progressivement les schémas nationaux historiques (incluant la branche CC du SOG-IS) pour certains produits et harmonise la délivrance des certificats par l'ENISA et les autorités nationales de certification de cybersécurité (NCCA).
Common Criteria est-il obligatoire pour le marquage CE ou la RED ?
Non. Common Criteria est un cadre volontaire. Ni la directive RED 2014/53/UE ni le règlement CRA (UE) 2024/2847 ne rendent obligatoire une certification CC pour la mise sur le marche. En revanche, un certificat CC EUCC peut servir d'élément de preuve dans la documentation technique d'un produit, et certains appels d'offres publics (défense, identité numérique, paiement) imposent un niveau minimal d'assurance CC.
Quelle différence entre CSPN et Common Criteria pour l'ANSSI ?
La CSPN (Certification de Securite de Premier Niveau) de l'ANSSI est une évaluation rapide et de coût modere (environ deux mois de tests en boite noire et boite grise) qui ne suit pas ISO/IEC 15408. Common Criteria est plus lourd, plus formel et plus coûteux, mais ouvre la reconnaissance internationale. Les deux schémas coexistent sous le label Visa de Securite ANSSI. Pour le détail de la CSPN, voir le guide dedie.
Quels sont les pieges classiques d'un projet Common Criteria ?
Sur-périmètre du TOE (Target of Evaluation trop large incluant des fonctions hors sécurité), rédaction tardive de la Security Target qui bloque le démarrage de l'évaluation, absence de cPP applicable pour la catégorie de produit (le projet retombe sur une ST artisanale), sous-estimation de la phase ALC (Life-Cycle Support) qui exige de documenter la chaine de production, mauvaise sélection du laboratoire (CCTL/ITSEF) au regard du schéma vise.